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基于 布尔 函数 的 网 络 可 达 性 验证 方法 
张 立 群 ， 林 海 涛 ， 沈 ” 钊 ` 
(海军 工程 大 学 电子 工程 学 院 , 武汉 430000) 


摘 要 : 针对 SDN 网 络 中 由 于 不 同 应 用 的 转发 路 径 交 党 等 导致 的 数据 平面 配置 问题 ， 提 出 一 种 基于 布尔 水 数 的 网 
络 可 达 性 验证 方法 。 首 先 ， 将 网 络 拓 扑 抽象 为 端口 拓扑 并 计算 端口 邻接 竹 阵 ; 之 后 ， 生 成 网 络 的 路 径 空间 和 各 端口 
的 转发 孙 数 并 计算 每 条 路 径 的 路 径 防 数 ; 最 后 通过 判断 路 径 函 数 的 可 满足 性 来 确定 路 径 的 可 达 性 。 通 过 dn, 
对 网 络 拓扑 和 流 规则 规模 等 因素 对 算法 验证 效率 的 影响 进行 研究 ， 并 将 所 提 方 法 与 APV 和 DASDA 进行 性 能 比较 。 
实验 结果 表明 ， 所 提 方 法 能 够 有 效 检测 SDN 网 络 中 的 流 规则 配置 问题 。 随 着 网 
长 ， 验 证 网 络 所 需 的 时 间 开 销 逐 渐 增 加 。 其 中 ， 网 络 拓扑 对 路 径 生 成 时 间 影 响 较 大 ， 而 转发 函数 的 生成 时 间 则 主要 
受 流 规则 规模 的 影响 。 所 提 方 法 的 验证 时 间 相 较 于 APV 和 DASDA 分 别 平均 缩短 约 53.76% 和 27.74%。 

关键 词 : 软件 定义 网 络 ; 规则 配置 ; 可 达 性 验证 ; 布尔 函数 
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Network reachability verification method based on Boolean functions 


Zhang Liqun, Lin Haitao, Shen Zhao+ 
(College of Electronics Engineering, Naval University of Engineering, Wuhan 430000, China) 


Abstract: Aiming at the data plane configuration problem caused by overlapping forwarding paths of different applications 
in SDN network, this paper proposes a Boolean function-based network reachability verification method. First, it abstracts 
the network topology into port topology and calculates the port adjacency matrix; then generates the path space of the network 
and the forwarding function of each port, and calculates the path function of each path; finally, it judges the accessibility of 
path from the satisfiability of path function. Through simulation experiments, this paper studies the influence of factors such 
as network topology and flow rule scale on the algorithm verification efficiency, and the performance of the proposed method 
is compared with APV and DASDA. Experimental results show that the proposed method can effectively detect flow rule 
configuration problems in SDN networks. As the number of loops in the network increases and the size of the flow rules grows, 
the time overhead required to verify the network gradually increases. Among them, the network topology has a great influence 


和 on the path generation time, and the generation time of the forwarding function is mainly affected by the scale of the flow 
rule. Compared with APV and DASDA, the time to verify is shortened by an average of about 53.76% and 27.74%, 
respectively. 

Key words: software defined network; rule configuration; reachability verification; Boolean functions 
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用 于 实现 控制 器 对 交换 机 的 管理 。 但 由 于 TLS 协议 的 复杂 性 
员 一 般 使 用 明文 对 交换 机 进行 配置 管理 个 。 这 使 得 在 
为 了 适应 新 的 网 络 需 求 ， 传 统 网 络 体系 架构 经 过 几 十 年 SDN 中 发 生 中 间 人 攻击 的 概率 要 大 于 传统 网 络 由 。 攻 击 者 会 
的 发 展 增加 了 大 量 的 网 络 协议 ， 这 使 得 整个 网 络 变 得 腔 肿 不 利用 OpenFlow 协议 实现 欺骗 拦截 ， 阻 止 正常 的 流量 传输 ， 
堪 趾 。 为 重新 定义 网 络 架 构 ， 斯 坦 福 大 学 在 2006 年 的 Clean ”或 者 在 交换 机 中 添加 新 的 流 规则 ， 控 制 数 据 包 转 发 ， 使 网 络 
Slate 项 目 中 提出 了 软件 定义 网 络 P(Software Defined ”平面 脱离 管理 员 控 制 中 ， 如 图 1(b) 所 示 。 目 前 ，SDN 中 缺乏 
Network, SDN)。SDN 的 基本 理念 是 构建 一 个 网 络 操作 系统 ， 有 效 的 网 络 验证 机 制 ， 难 以 应 对 这 些 控制 平面 的 配置 错误 和 
使 得 仅 在 控制 器 软件 上 进行 网 络 编程 就 能 管控 所 有 网 络 流量 。 ”网络 攻击 00。 为 此 ， 对 网 络 可 达 性 验证 的 研究 具有 重要 的 应 
相 较 于 传统 网 络 架构 ，SDN 架构 具有 较 好 的 扩展 性 、 强 大 六 用 价值 。 
灵活 性 和 快速 响应 性 等 特点 ， 被 广泛 应 用 于 物 联网 和 5G 开 3 
发 等 大 规模 网 络 应 用 B, 4 1 ”相关 工作 
但 SDN 也 还 存在 着 一 些 问题 ， 可 能 导致 严重 的 网 络 安 文献 [11] 提 出 一 种 NetPlumber 工具 ，NetPlumber 基于 头 
全 事故 后。 首先 ， 部 署 在 控制 器 中 的 多 个 应 用 对 同一 转发 平 ”空间 分 析 [2 (Header Space Analysis，HSA) 创 建 并 维护 流 规则 
面 进行 操作 ， 使 得 不 同 应 用 的 转发 路 径 相 互 交 琶 ， 可 能 出 现 ”之 间 的 依赖 关系 图 ， 该 图 将 流 规 则 使 用 管道 连接 ， 两 流 规则 
多 应 用 的 不 当 依赖 。 这 种 不 当 依赖 使 得 真实 的 转发 平面 与 管 ”的 匹配 域 交 集 作 为 管道 的 过 滤器 ， 以 增 量 的 方式 动态 检查 状 
| 而 态 
网 


Wl 


) 
里 员 预 期 不 符 ， 出 现 转发 环 路 、 非 法 可 达 路 径 以 及 数据 阻塞 态 的 合法 性 变化 。 文 献 [13] 提 出 的 NetV 同样 是 基于 HAS 的 
等 网 络 问 题 , 影响 网 络 的 安全 和 转发 性 能 四, 如 图 1(a) 所 示 。 络 分 析 工 具 。 与 NetPlumber 相 比 ，NetV 使 用 二 元 决策 
其 次 ， 在 主流 的 南 向 协议 OpenFlow 中 定义 了 基于 传输 层 安 解决 了 通配符 表达 式 在 多 次 并 集 和 差分 操作 后 的 爆炸 问题 ， 
性 协议 (Transport Layer Security，TLS) 的 OpenFlow 通道 ， 减少 了 使 用 不 同 通配符 筛选 器 执行 相同 行为 规则 的 宛 余 。 
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文献 [14] 提 出 一 种 高 效 的 流 规 则 冲突 检测 方法 。 通 过 对 DASDA.DASDA 通过 底层 配置 和 转发 平面 快照 验证 SDN 拓 
全 网 规则 的 匹配 域 进行 编码 ， 实 现 对 流 规 则 的 压缩 ， 进 而 对 扑 中 所 有 网 络 设备 的 行为 。 交 换 机 中 的 流 规则 被 抽象 为 流 规 
全 网 规则 冲突 的 检测 。 但 由 于 对 规则 进行 压缩 ， 使 得 可 能 在 。”” 则 决策 图 (Flow entries Decision Diagram，FeDD)，FeDD 中 的 
检测 过 程 中 出 现 虚报 。 文 献 [15] 提 出 了 一 种 基于 原子 谓词 验 路 径 节点 代表 数据 包 的 各 个 匹配 字段 ， 路 径 终点 记录 着 数据 
证 (Atomic Predicates Verifier，APV) 的 方法 ， 该 方法 通过 将 访 包 在 网 络 中 的 所 有 动作 。 当 交换 机 数目 较 少 时 ， 算 法 检测 速 
问 控制 列表 (Access Control Lists ，ACL) 和 转发 表 (Forward ” 度 相 对 较 快 。 文 献 [18] 提 出 一 种 方法 来 验证 请 求 的 路 径 集合 
Information dataBase, FIB) 构 造成 端口 谓词 , 并 计算 谓词 集合 会 不 会 发 生 配 置 错 误 。 但 该 方法 只 对 路 径 集合 进行 了 分 析 ， 
的 原子 谓词 集 。 然 后 使 用 整数 集合 来 表示 各 个 转发 谓词 ， 构 并 没有 结合 
建 转 发 图 验证 网 络 可 达 性 。 但 当 其 网 络 数目 较 多 时 ， 需 要 计 针对 上 述 研究 存在 的 虚假 预警 、 验 证 效率 低 以 及 通信 开 
算 大 量 的 原子 谓词 。 并 且 当 原子 谓词 集合 进行 更 新 时 ， 表 示 销 增加 等 问题 ， 本 文 提 出 一 种 基于 布尔 函数 的 网 络 可 达 性 验 
端口 谓词 的 整数 集合 也 需要 进行 调整 ， 验 证 效率 较 低 。 文 献 证 (Reachability Verification Based on Boolean Functions, 
[16] 提 出 了 一 种 轻 量 级 的 包 转 发 验证 方案 (Lightweight Packet ”RVBBF) 方 法 ，RVBBF 使 用 控制 器 中 己 有 的 网 络 拓扑 和 流 规 
Forwarding Verification，LPV)， 通 过 对 交换 机 出 口 和 入 口 的 则 信息 ， 无 须 与 转发 平面 进行 频繁 通信 ， 减 小 了 通信 开销 ; 
随机 采样 , 比 对 采样 包 中 的 相关 信息 判断 网 络 中 的 异常 转发 。 并 且 该 方法 使 用 布尔 函数 对 未 压缩 的 流 规则 匹配 域 进行 描述 ， 
但 由 于 需要 不 断 采 样 和 上 传 ， 增 加 了 转发 延迟 和 通信 开销 。 结合 物理 路 径 对 数据 平面 中 的 可 达 性 和 转发 环 路 进行 检测 ， 
文献 [17] 提 出 一 种 基于 形式 化 验证 的 冲突 检测 解决 方案 消除 了 虚假 预警 ， 提 高 了 验证 效率 ， 增 强 了 SDN 的 安全 性 。 
应 用 A HI18H3 | 应 用 B H3$H2 
一 一 一 > 转发 环 路 
控制 吕 -一 .> 非法 路 径 
<192.168.30.10> 
H3 
<192.168.10.10 Bs a 
HI A: <192.168.10.0/24,192.168.30.0/24> 
,Sw2,pri: 1,fwd (Eth2) 
A: <192.168.10.10/32,192.168.30.0/24> 
| a A: <192.168.10.0/24,192.168.30.0/24> 
H2 B: <192.168.0.0/16,192.168.10.20/32> Sw3 ,Sw3,pri: Lfwd (Eth3) 
,Swl,pri:1,fwd(Eth2) 
(a) 应 用 不 当 依赖 导致 的 转发 环 路 和 非法 路 径 
应 用 A HI19 H3| 应 用 B H2$H4 一 一 ”攻击 前 数据 流向 
aa 控制 器 -一 ”攻击 后 数据 流向 
时 -一 一 Ge 一 到 
<192.168.128.10> Sw2 <10.0.10.1> 
HI A:<192.168.128.0/17,10.0.10.0/24> i 
,SWw2,pri: 1,fwd(Eth2 - 
A:<192.168.128.0/24,10.0.10.0/24> ~ . 9 
,Swl,pri: 1,fwd (Eth3) 
B: <192.168.168.0/24,10.0.20.0/24> 
,Swl,pri:1,fwd(Eth4) 
<192.0.0.0/8,10.0.0.0/8> 
,Swl1,pri:65535,fwd(Eth-pa) Sw3 
ee 玫 B: <192.168.168.10.0/24,10.0.20.0/24> 全 
. 到 ,Sw3,pri: 1,fwd(Eth2) 
则 
(b) 网 络 攻 击 导致 的 数据 阻塞 
图 1 网 络 场景 
Fig.1 Network scenes 
股 包 含 匹配 域 、 动 作 志 \ 生 角 吕 及 计数 哑 短 宰 5 
2 ”网 络 模型 pe 配 动作 域 、 优 先 级 以 及 计数 带 千 字段。 为 简化 
问题 ， 使 得 仅 通过 布尔 运算 就 能 判断 数据 包 与 流 规则 的 匹配 
对 于 每 一 个 数据 包 , 其 都 有 着 确定 的 源 卫 地 址 , 记 作 及 关系 以 及 求解 流 规 则 所 能 匹配 的 数据 包 集合 , 作出 如 下 定义 ， 
和 目的 卫 地 址 ， 记 作 且 。 在 了 Pv4 网 络 中 ， 网 络 地 址 由 32 定义 1 流 规则 格式 定义 如 式 (2) 所 示 。 
位 比特 序列 表示 ， 本 文 将 数据 包 抽 象 为 一 个 64 位 的 比特 序 R:< sw, pri, M,action > Q) 
列 (该 方法 同样 可 拓展 应 用 于 IPv6)， 其 中 前 32 位 表示 及 ， 其 中 ， sw 记录 规则 所 在 的 交换 机 ; ”Pri 表示 规则 的 优先 级 ， 
后 32 位 表示 1 。 整 个 数据 包 空 间 9 可 以 表示 为 其 取 值 为 [0,65535] 内 的 整数 , 数值 越 大 则 优先 级 越 高 ; 匹配 域 
QO={(c aa)|a e{0,1}} (1) M=(Nets,Netp) ，Nets 和 Nem 分 别 表示 规则 匹配 的 源 地 址 网 络 
当 数 据 包 到 达 交 换 机 时 ， 会 将 数据 包 的 包头 信息 与 流 规 和 目的 地 址 网 络 ， 两 者 皆 为 前 缀 匹配 字段 ; action 为 动作 域 ， 
则 进行 匹配 ， 并 根据 规则 定义 的 动作 处 理 数据 包 。 流 规则 一 表示 交换 机 对 数据 包 的 操作 。 当 该 数据 包 到 达 sw 时, 将 按照 
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所 匹配 规则 的 action 进行 操作 。 使 二 者 同时 进行 ， 并且 使 用 BDD 结构 表示 方法 中 的 布尔 函 
定义 2 ”交换 机 对 数据 包 的 操作 包含 转发 和 丢弃 两 种 ， 数 ， 有 效 缩短 路 径 验 证 时 间 。 
对 动作 域 action 使 用 式 (3) 描 述 。 下 面 将 对 RVBBF 的 各 阶段 工作 进行 详细 描述 。 
action= fwd( Eh) (3) 开始 
对 于 转发 动作 , 使 用 本 地 端口 Et 描述 , 表示 将 数据 包 从 抽象 端口 拓扑 
对 应 端口 转发 ， 对 于 丢弃 动作 ， 可 认为 交换 机 将 数据 包 从 特 
殊 的 端口 Em 转发 ， 即 action= fwd(Ethy) 。 计算 转发 本 到 生成 路 从 宝 间 
定义 3 ”对 于 任意 流 规则 R ， 其 可 匹配 的 数据 包 空 间 为 站 
9 ， 则 一 定 存 在 一 个 64 元 的 布尔 函数 B ， 使 得 a 


| B(®)=True, Vo e OR 


gor veelEl OTn 0 


称 8 为 流 规 则 R 的 匹配 函数 ， 形 式 如 下 : 图 3 工作 流程 结构 
B=V AV A 人 Ve (5) Fig.3 The method flow structure 
对 于 匹配 函数 存在 下 列 性 质 : 3.1 抽象 端口 拓扑 
性 质 1 对 于 数据 包 w% 和 匹配 函数 B, 若 B(@w)=True , 则 @ 对 网 络 的 物理 拓扑 进行 抽象 ， 可 得 网 络 的 端口 拓扑 ， 如 
匹配 流 规则 ;否则 数据 包 与 该 流 规则 不 匹配 。 图 4 所 示 。 在 端口 拓扑 中 ， 节 点 表示 设备 端口 ， 分 为 交换 机 
性 质 2 若 3 为 某 一 流 规则 的 匹配 函数 ， 则 B(@)=True 的” 节点 和 主机 节点 ; 边 则 表示 端口 之 间 的 连接 关系 ， 实 线 为 外 
解 空间 ， 即 为 该 规则 所 有 可 匹配 的 数据 包 。 部 连接 ， 即 端口 位 于 不 同 交 换 机 且 存 在 物理 链 路 ;虚线 为 内 
性 质 3 存在 两 个 特殊 的 匹配 函数 如 和 B:; ， 分 别 有 部 连接 ， 即 端口 位 于 同一 交换 机 。 
Bi(@)=True, Vo en (6) 


B;(@)= False, Vo eQ (7) 
值得 注意 的 是 ， 并 非 所 有 匹配 函数 都 具有 全 部 的 64 个 比特 变 


加 量 


。 例 如 , 存在 流 规则 R , 其 匹配 域 M =(192.168.0.0/16 , 10.0.0.0/8) ， 
© 则 Bs 如 下 所 示 ， 
SO Br 三 加 入 由 入 一 A 人 oY 人 Vy 入 一 入 一 V6 人 一 Vy 入 
Te Ve A 人 —Vo AVo 人 Vi 人 V2 人 V3 人 Va 人 一 Vis 入 
© V32 人 V33 人 V34 人 V35 和 人 136 人 一 ?37 八 V3g 人 一 ?39 
CN 在 Bs 中 只 包含 24 个 比特 变量 ， 这 是 由 于 Nets 和 Nem 的 


CN 网 络 前 级 分别 为 16 和 8。 对 于 Nen 来 说 , 需要 从 % 到 的 16 


局 。 个 比特 变量 即 可 表示 ; 同 理 对 于 Ne 则 只 需 从 w 到 ww 的 8 个 
日 比特 变量 。 (a) 物 理 拓扑 人 b) 端 口 拓 扑 
PP 本 文 使 用 二 元 决策 图 (131(Binary Decision Diagram, BDD) 图 4 ”端口 拓扑 抽象 
Se 来 对 布尔 函数 进行 表示 。BDD 是 用 于 表示 布尔 函数 的 有 向 无 Fig. 4 Port abstraction 
© 环 图 ,可 以 极 大 的 减 小 验证 布尔 函数 满足 性 需要 的 时 间 开 销 ， 为 方便 后 续 研 究 ， 将 <sw,eth> 映 射 为 全 局 端口 ? ， 映 射 
人 其 结构 如 图 2 所 示 。 规则 记 为 D 。 例 如 在 上 述 拓 扑 中 有 ， 
全 Du = 区 D[<Sw1,Eth-0>]—»P 
a ~ = 
OO | yu ， 1>] 一 也 
; > Lk 由 D 和 各 端口 的 连接 关系 , 可 得 网 络 拓扑 的 邻接 矩 阵 E ， 
1 i 有 2 二 其 中 % sf-101 表示 端口 PB 和 Pi 的 连接 关系 。 若 % =-1, 表示 两 
724 站 节点 为 内 部 连接 ; 若 %=0 ， 表 示 两 节点 无 连接 ; 若 %=1, 则 表 
2 区 对 示 两 节点 为 外 部 连接 。 上 述 拓扑 的 邻接 矩阵 如 下 所 示 : 
False True 
0 -1-110000000000 
图 2 函数 B=vovivw-v 的 BDD -1 0 -100000000010 
Fig.2 The BDD of B=vowvv—w, E=|-1 -1000000000100 
3 ”基于 布尔 函数 的 网 络 可 达 性 验证 0 .0000010000000 
为 解决 SDN 网 络 中 缺乏 可 达 性 验证 机 制 的 问题 ， 基 于 ”3.2 计算 转发 函数 
上 一 节 的 网 络 模型 提出 一 种 基于 布尔 函数 的 网 络 可 达 性 验证 匹配 函数 8 可 以 求 得 流 规 则 所 匹配 的 数据 包 ， 但 在 交换 
方法 。RVBBF 的 工作 流程 包括 四 部 分 : 抽象 端口 拓扑 、 计 算 ”机 内 部 存在 大 量 的 流 规则 ， 并 且 优先 级 和 转发 端口 各 异 ， 难 
转发 函数 、 生 成 路 径 空 间 和 路 径 验 证 ， 其 流程 结构 如 图 3 以 用 其 表征 交换 机 的 转发 动作 。 为 此 类 比 匹 配 函 数 ， 对 转发 
所 示 。 函数 进行 如 下 定义 : 
RVBBF 对 流 规 则 和 数据 包 的 匹配 关系 用 布尔 函数 进行 定义 4 对 于 任意 的 交换 机 端口 ? ， 通 过 其 转发 的 数据 
描述 ， 并 使 用 路 径 搜 索 算法 对 转发 平面 的 拓扑 结构 进行 搜索 包 空 间 为 Q; ， 则 一 定 存在 一 个 64 元 的 布尔 函数 及， 使 得 
生成 路 径 空 间 ， 将 网 络 可 达 性 问题 转换 为 布尔 可 满足 性 问题 | F,(@)=True, Vo e OQ, (8) 
(Boolean Satisfiability Problem，SAT)， 使 得 仅 通 过 简单 的 逻 GeQp, VE e{E|Fo(E)=True} 
辑 运算 就 能 够 验证 网 络 端 到 端的 可 达 性 。 为 提高 验证 效率 ， 称 布尔 函数 三 为 端口 P 的 转发 函数 。 
RVBBF 对 生成 路 径 空 间 和 计算 转发 函数 两 阶段 做 并 行 处 理 ， 根据 流 规则 集合 和 可 计算 任意 端口 的 转发 函数 及 ,其 
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其 匹配 函数 ， 
表示 的 流 规则 
算法 1 流 规则 预 处 理 


< sw,pri,B,P> 。 


其 
> 


> 


Hb: <sw,pri,B,P>. 

M'<¢-tran(M) 

已 < 已 |; 

for 1 人 1 to len(M'") do 
switch( M'i] ) 


case 0: 


起 
aad 


已 < 有 AVI 
case ] : 


BBA,; 


D0 0 Om 和 whP Pp 


Case +*: 

10 Skip; 

11 end switch 

12 end for 

13 Eth<— get_Eth(action) 
14 P<¢D[<sw,Eith>] 


15 return <sw,pri,B,P> 


在 算法 1 中 ， 


<sw,pri,M,action> ， DD。 


张 立 群 ， 


首先 ， 通 过 算法 1， 对 获取 的 流 规则 进行 预 处 理 ， 计 算 
将 端口 映射 为 全 局 端口 


得 到 使 


匹配 函数 


函数 ran0 将 M 转换 为 三 元 序列 M '， 


Me{(b…7 )|m; e{0,1,*}} 


其 中 » (10°, 1101) 表示 Nets , (1 


ma) 表示 Nets ，* 为 通配符 。 


数 。 geLEth0 则 根据 action 获 
D 将 <sw,Etmh> 映射 为 P。 


数据 包 在 交换 机 内 进行 规则 匹配 时 ， 


取 本 地 转发 端口 Ek4x ， 之 后 根据 


若 M' 的 第 i 位 为 1 或 0， 取 位 变量 vw 或 wv ; 车 第 i 位 为 *， 
则 跳 过 位 变量 ”。 所 有 位 变量 的 析 取 即 为 该 流 规则 的 匹配 函 


是 按照 优先 级 进行 


级 的 流 规 则 优先 处 理 ， 
其 中 sw 大 
降序 排列 。 


可 得 到 有 序 的 流 规 


的 ， 数 值 越 大 ， 优 先 级 越 高 。 为 实现 对 同 
将 规则 以 (swzm) 为 关键 字 进 行 排序 ， 
主 关 键 字 ， 进 行 升序 排列 ， 
则 列表 ， 如 下 所 示 ， 


一 交换 机 中 高 优先 


pri 为 次 关键 字 ， 进 行 


<sw,pri,B,P> 


< swi, pri,B,,P; > 


< sw,, prin,B,,P, > 


m? 


其 中 ， 对 于 相同 sw 的 规则 , 若 j<， 


mo Fm 


有 Prij > pric 。 


1 


最 后 通过 算法 2， 根 据 有 序 的 规则 列表 和 端口 集合 ， 计 


算 各 个 端口 的 转发 函数 。 
算法 2 计算 转发 函数 
输入 :有 序 的 流 规则 列表 ， 端 
输出 ， 转 发 函数 集合 { 五 ……: 五 }。 


1 for jl] to n do 


Dh 


Ft Be; 


end for 
fleB; 


3 

4 

5 SW; 

6 i¢c!l; 

7 while i<m do 
8 


if sw=s then 


9 Fy Fv(B, rAd) 
16 fd€tfdvB 
11 i¢itl 


集合 {1,2,… 


“Nn}。 
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等 : 基于 布尔 函数 的 网 络 可 达 性 验证 方法 


else 
所 二 有 
SSW 
iei 


end 证 


17 end while 


18 return [五 ,已 


五 } 


3.3 生成 路 径 空间 


按 ! 
某 一 端 
过 外 部 


照 真 实 网 络 中 的 转发 模式 ， 数 提 


明 刊 


第 39 卷 第 9 期 


居 包 一 般 是 从 交换 机 的 


Pu 进入 ,通过 内 部 连接 到 转发 端口 By, 然后 从 RB 通 


连接 转发 至 另 一 交换 机 的 端 


复 ， 如 
生成 P 


下 特点 : 


与 交换 


图 5 所 示 。 
的 路 径 空间 Ser 。 


RP 进入 交换 机 ， 不 断 重 
为 此 ， 根 据 邻接 矩阵 E 和 起 始 端 口 ?， 可 


“的 一 的 一 


——(Pw)- * PvP- (Po 


5 数据 包 转 发 示意 图 


Fig.5 Schematic diagram of packet forwarding 


路 径 空间 中 的 基本 元 素 是 物理 可 达 路 径 pedh ， 并 具有 以 


a) path 以 某 一 主机 节点 作为 起 


始 节点 , 通过 外 部 连接 


机 节点 相连 ， 


St 


| 


E 机 节 


HH 


可 由 拓 
算 


25 


上 连 , 交 奉 进行 ; b) 当 访问 到 已 访问 过 
吉 束 ; c) 当 访问 到 


已 访问 过 的 节点 时 ， 
path 结束 。 


点 时 ， 


扑 藤 0 点 ， 生 成 路 径 
法 3 生成 路 径 

邻接 矩阵 EE， i 节 
b: ， 路 径 空间 Setp 


now=P ; Setp 所 ; 
path < 一 [2ow] ; 


while True do 


while True do 


if find next(now) then 


而 后 通过 内 部 连接 与 同一 


交换 机 的 节点 
交换 机 的 节点 时 ，path 
Pafh 结 束 ; 四 当 访 问 到 


通过 基于 深 ee First Search, DFS) 的 算法 3， 


空间 Serm 。 


now <—find_next(now) ; 


else 
break; 
end if 
path.append (now) 
if now or (nowSw is 
break:; 
end if 
end while 
Setp €— Setp (J{ path} 
while continue back() do 
Path.popO 
if len(path)=0 then 
break; 
end if 
now <— path[—1] 
end while 
if find over() then 
break 
end if 


26 end while 


27 return Setp 


visited) then 


尼 中 ， 


™ 


函数 find_next0 可 以 返回 当前 正在 访问 节点 wow 可 达 但 
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尚未 访问 的 下 一 跳 节 点 ; 当 now 的 所 有 可 达 节 点 都 被 访问 过 ” ” 析 实 验 中 不 同 规模 的 流 规则 集合 为 通过 使 用 Classbench 工具 
后 ，continue_back0 返回 True ， 路 径 回 渊 ; 车 now=P 有 是 now 的 所 随机 生成 。 
有 可 达 节 点 都 已 访问 ， 则 所 有 路 径 都 已 经 找到 ， 函 数 ”4.2 实验 结果 与 分 析 


check_over0 返回 为 mwe ， 算 法 结束 并 返回 路 径 空 间 Ser 。 4.2.1 有 效 性 分 析 
3.4 路 径 验 证 为 验证 RVBBF 的 有 效 性 , 对 引言 中 所 提 的 网 络 场景 


Sets 中 的 path 只 是 物理 可 达 并 不 一 定 逻 辑 可 达 ， 即 交换 。 进行 分 析 验 证 , 其 端口 拓扑 (省 略 内 部 连接 ) 及 映射 关系 如 
机 不 一 定 存在 相应 的 流 规 则 来 转发 数据 包 。 通 过 算法 4, 对 “图 6 所 示 。 以 HI( 在 两 图 中 均 为 节点 9) 为 起 始 节点 生成 路 


从 


所 有 的 物理 可 达 路 径 进行 验证 ， 在 这 个 过 程 中 ， 可 以 检测 路 。 径 空 间 ， 两 场景 的 路 径 空间 如 表 1 所 示 ( 加 粗 路 径 表 示 风 
径 包 含 的 环 路 以 及 可 达 性 。 辑 可 达 )。 
算法 4 ”路径 可 达 性 验证 四 
输入 : 路 径 空 间 Setp ， 转 发 函数 集 { 五 ……: 五 }。 @) 
输出 ， 循 环 路 径 空间 Cir 、 可 达 路 径 空间 Rea 。 so 这 
1 for path jin Set, do 中 
© 
2 B,, < 二 万 
(a) 场景 1 (b) 场景 2 
3 for P in path do 图 6 示例 场景 的 端口 示意 
4 if P is Output then Fig.6 Port representation of the example Scene 
E By Br, 表 1 不 同 场景 的 路 径 空间 
Tab.1 Path space for different scenes 
TT 6 end if Scene Number Path space 
Le 7 end for [9,0,1,10] 
CO . [9,0,3,4,5,6,7,2] 
yD 8 if SAT (B,,) then 
Scene 1 [9,0,3,4,5,6,8,11] 
9 if pathtail in path— pathtail then [9,0,2,7,6,5,4,3] 
16 Cr -CirUfpatp] ; [9,0,2,7,8,11] 
11 else [9,0,4] 
(ew 12 Rea <— Rea {path} ; [9,0,1,10] 
CN 13 end if SPS [9,0,2,7,8,11] 
A 14 end if [9,0,3,5,6,12] 
15 end for 结合 转发 函数 对 表 1 路 径 进行 验证 ， 发 现场 景 1 中 存在 
16 return Cir, Rea 一 条 转发 环 路 [9,0,3,4,5,6,7,2] 和 一 条 非法 可 达 路 径 [9,0,1,10]; 
算法 4 通过 遍历 路 径 空 间 ， 对 路 径 中 输出 端口 的 转发 函 ”在 场景 2 中 则 只 有 一 条 数据 通路 [9,0,4]， 其 中 节点 4 为 
数 FF 进行 合 取得 到 路 径 函 数 8%， 然后 对 8% 进行 SAT 验证 。 <Sw0,Eth >， 表明 Sw1 可 能 受到 攻击 或 规则 设置 错误 , 造成 数 
若 存 在 可 满足 的 解 ， 则 存在 数据 包 能 够 同时 通过 路 径 上 所 有 ” 据 阻 塞 。 结果 表明 , RVBBF 能 够 有 效 检测 网 络 中 由 于 应 用 的 
en 的 转发 端口 ， 其 解 空间 就 是 可 通过 该 路 径 的 数据 包 集合 ， 路 。 ”不 当 依 赖 和 网 络 攻 击 导致 的 流 规则 冲突 。 
三。 径 存在 逻辑 通路 。 之 后 再 对 路 径 属性 进行 判断 ， 若 路 径 的 终 。 4.2.2 性 能 分 析 
© 端 节点 在 路 径 中 重复 出 现 ， 则 表明 该 路 径 是 循环 路 径 ， 否 则 为 验证 RVBBF 的 性 能 ， 本 小 节 通 过 改变 网 络 拓扑 和 流 
为 单 向 可 达 路 径 。 若 解 不 存在 ， 说 明 不 存在 数据 包 可 以 通过 ”规则 数目 等 参数 ， 对 算法 各 部 分 验证 效率 进行 分 析 。 为 提高 
该 条 路 径 上 所 有 转发 端口 ， 即 路 径 逻 辑 不 可 达 。 准确 性 ， 本 节 数 据 均 为 多 次 实验 取 平 均值 。 
4 实验 1) 网 络 拓扑 对 生成 路 径 空间 的 影响 
实验 分 析 a < ee 
在 实验 中 设置 5 台 交 换 机 ， 分 别 组 成 线形 、 环 形 和 网 状 
4.1 实验 条 件 3 种 典型 的 基本 网 络 拓扑 ， 如 图 7 所 示 。 通 过 改变 不 同 拓扑 
本 文 实验 计算 机 的 配置 如 下 : Itel Core i7-9750H CPU 下 的 终端 主机 数量 ， 研 究 网 络 拓扑 对 路 径 空间 生成 时 间 的 影 


2.6GHz 处 理 器 ,16GB 内 存 , Win10 操作 系统 。 在 Visual Studio ” 响 ， 实 验 结果 如 图 8。 各 个 拓扑 的 路 径 空间 (由 于 终端 主机 地 
Code 平台 上 基于 Python 语言 对 该 方法 进行 实现 。 在 性 能 分 。 位 对 等 ， 任 取 其 一 作为 起 始 节 点 ) 大 小 如 表 2 所 示 。 


RY 


9 晶 


© © 


(a) 线形 拓扑 (b) 环形 拓扑 (c) 网 状 拓扑 
图 7 实验 拓扑 结构 

Fig.7 Experimental topology 
表 2 和 图 8 可 以 看 出 ， 在 相同 拓扑 下 ， 随 着 主机 数量 。 线形 拓扑 和 环形 拓扑 。 这 是 由 于 在 网 状 拓扑 中 具有 较 多 可 达 
的 增多 ， 路 径 数 量 和 生成 时 间 也 逐渐 增加 ， 且 不 同 拓扑 之 间 。”” 坏 路 ,增加 相同 数目 的 主机 使 得 增加 的 物理 可 达 路 径 会 更 多 ， 
的 差距 逐渐 增 大 。 网 状 拓扑 的 路 径 空间 生成 时 间 要 明显 高 于 ”在 生成 路 径 空间 时 需要 消耗 较 多 的 时 间 。 在 相同 交换 机 数 
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录用 定 


的 情况 下 ， 环 


形 拓 # 


稿 


卜 的 3.02 


拓扑 和 网 
音 和 10.83 倍 。 


状 拓扑 的 路 径 生 成 时 间 平 均 约 为 线 


表 2 不 同 拓扑 中 的 路 径 数 量 
Tab.2 Number ofpaths in different topologies 


基于 布尔 函数 的 网 络 可 达 性 验证 方法 


Number ofhosts Linear Ring Mesh 
10 9 19 102 
20 19 37 171 
30 29 5 232 
40 39 73 301 
50 49 91 362 
60 59 109 431 
70 69 127 492 
80 79 145 561 
90 89 163 622 
100 99 181 691 

一 一 Linear 
500「 — — Ring 
:Mesh 


200 上 


Path space generation time /ms 


. 1 1 
20 40 60 


. 1 
80 100 
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验证 时 间 。 在 上 述 实 验 中 ， 路 径 验 证 时 间 均 不 超过 20ms。 
20 上 | 一 一 Linear 
一 一 Ring ~ 
”Mesh /、\ 
4 人 
gr 1 
> 8 上 
a 
色 
4 上 
[ + 上 上 1 1 上 1 
0 200 400 600 800 1000 
Number of flow rules 
到 10 ” 流 规 则 规模 对 路 径 验证 时 间 的 影响 
Fig. 10 Influence offlow rule size on path verification time 


4.2.3 与 APV 算法 的 性 能 比较 
本 小 节 将 对 RVBBF 与 文献 [15] 提 出 的 APV 和 文献 [17] 
提出 的 DASDA 进行 性 能 比较 ,实验 在 如 图 11 所 示 的 复杂 拓 
扑 下 进行 ， 通 过 改变 流 规则 的 集合 规模 ， 分 析 其 验证 效率 ， 
实验 结果 如 图 12 所 示 。 


Number of hosts 
图 8 主机 数量 对 路 径 空间 生成 时 间 的 影响 图 11 复杂 拓扑 
Fig.8 Influence ofthe number of hosts on the path generation time Fig. ll Complex topology 
2) 流 规则 规模 对 转发 函数 生成 的 影响 4 i , 
随机 生成 不 同 数量 的 流 规则 集合 ， 研 究 流 规则 规模 对 转 | i 
发 函数 生成 的 影响 ， 结 果 如 图 9 所 示 。 
a 一 一 Linear 
| |- - Ring a 
”Mesh 一 E 
400 Ea 
0 200 400 600 800 1000 
2 Number of rules 
四 12 与 APV 和 DASDA 的 性 能 比较 
Fig. 12 Performance comparison with APV and DASDA 
ET 由 图 11 可 以 发 现 , 三 种 算法 的 检测 时 间 都 随 着 流 规则 规 
图 9 流 规则 规模 对 转发 函数 生成 时 间 的 影响 模 的 增加 而 增加 ， 但 RVBBF 在 验证 效率 上 要 优 于 APV 和 
Fig.9 _ Influence offlow rule size on forwarding function generation time DASDA， 验 证 时 间 分 别 平 均 缩 短 约 53.76% 和 27.74%。 这 是 
图 9 可 以 看 出 ， 三 种 拓扑 的 转发 函数 生成 时 间 在 相同 由 于 随 着 流 规则 数目 的 增加 ， 尤 其 是 当 流 规则 集合 包含 的 网 
规则 规模 下 几乎 相等 ， 且 随 着 规模 的 增加 而 增加 。 这 是 由 于 段 较 多 时 ，APV 中 的 原子 谓词 数量 会 显著 增加 ，DASDA 则 
该 阶段 需要 对 预 处 理 后 流 规则 的 匹配 函数 进行 析 取 、 和 求 ”会 因此 导致 FeDD 过 于 庞大 ， 使 得 在 对 其 进行 维护 和 查询 时 
反 等 操作 。 每 一 条 规则 进行 的 操作 相似 。 为 此 ， 端 口 函数 的 生 ”需要 更 多 的 时 间 。 并 且 在 APV 中 , 新 谓词 的 出 现 可 能 会 对 当 
成 时 间 会 随 着 流 规则 的 规模 逐渐 增加 ， 且 基本 成 线形 关系 。 前 的 原子 谓词 集合 造成 影响 ， 导 致 其 需要 重新 计算 原子 谓词 
3) 流 规则 数目 对 路 径 验 证 的 影响 集合 ， 增 加 了 验证 的 时 间 消 耗 。 相 对 于 APV，DASDA 没有 
为 避免 路 径 空间 大 小 对 路 径 验证 时 间 的 影响 ， 实 验 设置 复杂 的 原子 谓词 计算 过 程 , 检测 效率 相对 较 高 。 而 RVBBF 则 
有 68 台 终 端的 线形 拓扑 、37 台 终 端的 环形 拓扑 和 4 台 终 。 只 需 计 算 交 换 机 各 端口 的 转发 函数 ， 再 据 此 对 路 径 空 间 中 的 
端的 网 状 拓扑 ， 其 路 径 空间 中 都 包含 67 条 路 径 。 实验 结果 如 路 径 进行 验证 即 可 。 同 时 由 于 使 用 BDD 对 布尔 函数 进行 表 
图 10 所 示 。 示 ， 大 大 提高 了 RVBBF 的 路 径 验证 验证 效率 。 
图 10 可 看 出 ， 总 体 上 来 说 网 状 拓 扑 的 路 径 验证 时 间 5 ”结束 语 
最 长 ， 其 次 是 环形 拓扑 ， 线 形 拓扑 的 路 径 验证 时 间 最 短 。 这 Ss 
是 因为 网 状 拓扑 中 的 路 径 相 对 较 长 ， 生 成 路 径 函 数 时 需要 对 针对 SDN 网 络 中 由 于 不 同 应 用 的 转发 路 径 交 著 等 导致 
更 多 的 转发 函数 进行 析 取 操作 ， 为 此 验证 时 间 更 长 。 而 且 的 数据 平面 配置 问题 ， 本 文 提出 了 一 种 基于 布尔 函数 的 网 络 
于 使 用 了 BDD 对 布尔 函数 进行 存储 ， 极 大 缩短 了 对 路 径 的 可 达 性 验证 方法 。 该 方法 根据 流 规则 生成 转发 函数 ， 结 合 路 


录用 定稿 张 立 群 ， 
径 生成 算法 产生 的 路 径 空 间 可 实现 SDN 数据 转发 平面 的 可 
达 性 验证 。 实 验 结果 表明 , RVBBF 能 够 有 效 验 证 网 络 可 达 性 。 


并 且 相 比较 APV， 其 验证 效率 有 明显 提高 。 

在 当今 网 络 中 ， 转 发 平面 中 的 配置 错误 非常 普遍 。 新 技 
术 也 带 来 了 新 的 安全 挑战 。 在 经 典 的 SDN 南 向 接口 协议 
OpenFlow 中 ， 定 义 的 动作 中 存在 能 够 修改 数据 包 IP 地 址 的 
SET 动作 ， 该 动作 可 以 对 数据 包 的 包头 信息 进行 修改 ， 使 得 
网 络 管理 员 方 便 、 灵 活 地 实现 数据 牵引 ` 路 由 重 定向 等 功能 。 
但 如 果 对 SET 动作 使 用 不 当 ， 则 会 造成 防火 墙 失 效 ， 引 发 严 
的 网 络 安全 事故 RU。 因此 下 一 步 将 就 如 何 快速 高 效 的 检测 


TT 


Im 


SET 动作 导致 的 转发 平面 威胁 展开 研究 , 进一步 提高 网 络 
安全 。 
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